Sunday 17 October 2010

Mengatasi VIRUS!! Yang Mengubah Safe Mode menjadi Blue Screen

   hallo sobat ibnunu sekalian , belakangan ini ane lagi sering membahas tentang virus sebab serangan virus mancanegara kembali datang, dan kali ini berasal dari varian keluarga W32/Xorer. Setelah lama tidak terdengar, virus mancanegara ini kembali menyerang pengguna komputer di Indonesia dan salah satu yang terdeteksi adalah W32/Xorer.AM.

   Virus ini memiliki kemampuan untuk mengacaukan system komputer. Dalam serangannya, pembuat virus menggunakan teknik "social engineering" untuk mengelabui korbannya. Pembuat virus berusaha mengelabui korban dengan memberikan sebuah link program atau software pada website tertentu atau memberikan sebuah informasi seperti cheat / kode, dengan kesan korban tidak melakukan sesuatu hal yang salah.
 
Keluarga W32/Xorer

W32/Xorer.AM merupakan salah satu virus dari varian keluarga W32/Xorer. Virus yang diduga berasal dari negeri Tirai Bambu ini muncul pertama kali pada akhir tahun 2007. Hingga kini sudah puluhan varian virus W32/Xorer yang bermunculan dan memiliki kemampuan yang berbeda-beda.

Gejala & Efek Virus

Beberapa gejala dan efek yang terjadi jika anda terinfeksi virus ini yaitu sebagai berikut :
  1. CPU Usage 100%
    Bagi para pengguna komputer, salah satu hal yang tidak diinginkan terjadi adalah jika komputer anda terasa sangat lambat. W32/Xorer.AM menjadikan komputer anda terasa sangat lambat dengan menggunakan resource CPU hingga 100%, sehingga akan sangat sulit bagi anda untuk beraktivitas menggunakan komputer.
  2. Cek Koneksi Internet
    Seperti halnya kebanyakan virus mancanegara, W32/Xorer.AM juga mencoba melakukan koneksi internet ke beberapa website yang dituju.
  3. Koneksi Remote Server
    Jika koneksi internet sudah terhubung (setelah memastikan koneksi internet melalui proses ping ke www.baidu.com), W32/Xorer.AM akan mencoba melakukan koneksi ke remote server dengan tujuan mendowload file virus lain.
  4. Disable Safe-Mode
    Salah satu efek yang membedakan W32/Xorer.AM dengan beberapa varian W32/Xorer yang lain adalah dengan mematikan fungsi Safe-Mode Windows. Dengan cara ini, W32/Xorer.AM akan sulit dilakukan pembersihan secara manual. Jika tetap mencoba menggunakan Safe Mode, baik lewat Command Prompt maupun Networking maka akan muncul jendela Blue Screen dan secara otomatis akan kembali Restart.
  5. Membuka Web tertentu
    Jika komputer yang terinfeksi W32/Xorer.AM sedang terkoneksi internet, terkadang jendela Internet Explorer/Mozilla akan terbuka secara tiba-tiba dan meng-akses web/situs tertentu. Web/situs tersebut menampilkan animasi software/games yang menawarkan cheat/kode/patch. Selain itu, pada setiap web/situs yang dibuka, virus akan menambahkan beberapa URL script pada source, yaitu :
    http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70 ( jika di translate menjadi) http://js.k0102.com? )
  6. Mematikan proses Program/Software
    Untuk mempertahankan diri proses pembersihan antivirus dan mencegah aksi pengguna komputer mematikan proses virus yang berjalan, maka W32/Xorer.AM melakukan proteksi dengan menutup/mematikan proses program/software yang berjalan yang menggunakan string sebagai berikut : 360anti, 360safe, afx:, AfxControlBar42s, antivir, avast, avg, bitdefender, cabinetwclass, dr.web, eset, ewido, facelesswndproc, firewall, guard, HOOK, ieframe, KeServiceDescriptorTable, kissvc, mcafee, mcagent, metapad, monitor, mozillauiwondowclass, NetApi000, NtQuerySystemInformation, scan, tapplication, thunderrt6formdc, thunderrt6main, ThunderRT6Timer, watch
Jika tetap mencoba menggunakan program/software yang memiliki string tersebut diatas, program/software tersebut tidak berjalan secara normal atau hang (not responding).

Modifikasi key Folder Options

Secara umum, W32/Xorer.AM tidak akan melakukan blok terhadap bebrapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi W32/Xorer.AM menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus


File Virus
W32/Xorer.AM dibuat dengan menggunakan script bahasa C yang di kompress menggunakan UPX unpacker. Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file utama sebagai berikut :

  • C:\AUTORUN.inf (1 kb)
  • C:\pagefile.pif (92 kb)
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\~.exe.[angka_acak].exe (92 kb)
  • C:\WINDOWS\system32\[angka_acak].log (92 kb)
  • C:\WINDOWS\system32\dnsq.dll (32 kb)
  • C:\WINDOWS\system32\Com\lsass.exe (92 kb)
  • C:\WINDOWS\system32\Com\smss.exe (40 kb)
  • C:\WINDOWS\system32\Com\netfcg.000 (16 kb)
  • C:\WINDOWS\system32\Com\netcfg.dll (16 kb)


Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus akan membuat 2 file virus yaitu :
  • AUTORUN.inf (semua drive)
  • Pagefile.pif (semua drive)

Metode Penyebaran
Pada awalnya pembuat virus melakukan metode penyebaran dengan melakukan beberapa hal seperti :
- Melakukan posting pada forum software, menyediakan link untuk di download.
- Melakukan posting pada forum games, menyediakan link cheat/kode/patch.


Tetapi setelah komputer pengguna terinfeksi, selanjutnya akan memanfaatkan penggunaan media removable seperti flashdisk, external harddisk dan media eksternal USB lainnya.


Pembersihan Virus
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus adalah :
  • Matikan System Restore
  • Klik kanan My Computer, pilih Properties.
  • Pilih tab System Restore, beri ceklist pilihan “Turn off System restore”.
  • Klik Apply, Klik OK.
Matikan dan hapus virus.
  • Download tools Norman Malware Cleaner pada :
  • http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
  • Jalankan file tools tersebut, kemudian pilih semua drive yang ada.
  • Klik Scan, biarkan hingga selesai. PENTING !! Jangan restart komputer dulu.

Repair Registry Windows
Perbaiki Registry Windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :


Salin script dibawah ini dengan menggunakan notepad :



[Version]


Signature="$Chicago$"


Provider=Vaksincom Oyee


[DefaultInstall]


AddReg=UnhookRegKey


DelReg=del

[UnhookRegKey]


HKLM,SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}, 409,0, "Controls that are safely scriptable"


HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0


HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, Type,0, “checkbox”


HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run


HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"


HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"


HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"


HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, Description,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, SaferFlags,0x00000000,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Description,0, "Stop the download of this file"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Friendlyname,0, "Mdac11.cab"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, HashAlg,0x00008003,32771


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, SaferFlags,0x00000000,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Description,0, "Stop the download of this file"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Friendlyname,0, "mdac20.cab"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, HashAlg,0x00008003,32771


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, SaferFlags,0x00000000,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Description,0, "Stop the download of this file"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Friendlyname,0, "mdac20_a.cab"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, HashAlg,0x00008003,32771


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, SaferFlags,0x00000000,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Description,0, "Stop the download of this file"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Friendlyname,0, "_msadc10.cab"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, HashAlg,0x00008003,32771


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, SaferFlags,0x00000000,0


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Description,0, "Stop the download of this file"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Friendlyname,0, "msadc11.cab"


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, HashAlg,0x00008003,32771


HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, SaferFlags,0x00000000,0


[del]


HKLM, SOFTWARE\Classes\IFOBJ.IfObjCtrl.1


HKLM, SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}


HKLM, SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}


HKLM, SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}


HKLM, SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}


HKLM, SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0
  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik. dan lagi lagi ane berharap semoga nih artikel rajin diviews sama orang orang dan dikomen thanks ya, salam ibnunu

19 comments:

  1. nah ni komputer ku juga banyak virus yg bersarang nich,

    ReplyDelete
  2. ribet banget beh hehe.
    ditungg coment balasan di postingan terbaru di blog saya

    ReplyDelete
  3. wah..wah..bnyak banget virus datang nya ya..

    ReplyDelete
  4. Keren banget sob,,, saya sering tuh ketemu ma virus gituan secara tiap hari nyimplung dengan komputer di lab.... Thx sob,,,, sangat bermanfaat....

    ReplyDelete
  5. Wow..kemarin laptop ane kena virus Gan..screen-nya berubah biru..ada tulisan Inggrisnya. Kira-kira kok ini virus biangkeladinya! thanks info-nya sangat bermanfaat!

    ReplyDelete
  6. wahhh mantap infonya.... mari kita perangi virus secara bersama-sama

    ReplyDelete
  7. makasih infonya gan...

    virus memang hal yg menakutkan...,, trakir kali gara2 virus kompi ane ampe di instal ulang krn emang itu satu2'a cara...

    :D

    ReplyDelete
  8. @cahdenso: wah pas banget gan sama artikel ini nih
    @nassa: mari haha
    @isal: iya emng salah satu cara ampuh sih ya di install ulang itupun kalau virusnya cma kena di satu partisi saja

    ReplyDelete
  9. semoga PC saya tdk kena virus dari negara tirai bambu itu . . ,

    makasii kawan , tambah ilmu nich . . ,

    ReplyDelete
  10. salam kenal sob...n kunjungan balik n sekalian follow. jangan sungkan tuk koment di blog ane.. n jagan lupa follow back..

    ReplyDelete
  11. @ladida: iya sip amin
    @alycomp: okelah sob ane akan follow

    ReplyDelete
  12. wach,mantap banget gan info dan tipsnya....
    salam belogger...
    di tunggu artikel terbarunya...
    cz mw koment lagi...

    ReplyDelete
  13. kalo aku langsung aku format cak jika komputer melambat

    ReplyDelete
  14. @entis sutisna: sip deh hehe, ditunggu aja
    @tomo : sip gan emng banyak buat ngatasin masalah virus ini hehe

    ReplyDelete
  15. saya coba buat repair.ini sy klik kanan tidak ada perintah install, adanya open..print..open with..dll(biar keluar install bgm?

    ReplyDelete
  16. @Xp-zone: Siplah hehe
    @liqosoftware: udah download aplikasi normannya belum gan?

    ReplyDelete
  17. hii virus... hehehe, alhamdulilah gw jarang kena virus komputer, tapi gw malah kena virus coklat..

    ReplyDelete
  18. info yang sangat bermanfaat nda .... nice share ...

    ReplyDelete

Rajin rajin isi komentar ya :), sedikit komentar dari Anda akan berarti bagi saya dan jangan meninggalkan spam atau apapun yang sejenisnya ya